Manuale Operativo Soluzione FEA

MANUALE OPERATIVO DELLA SOLUZIONE FEA
FIRMA ELETTRONICA AVANZATA

 

 

  1. Premessa

Il presente documento è stato realizzato da Sama S.p.a. (di seguito, “Sama”), in quanto soggetto erogatore di servizi di sottoscrizione di documenti con Firma Elettronica Avanzata (di seguito, “FEA”), ai sensi dell’art. 55, comma 2, lett. a) del Decreto del Presidente del Consiglio dei Ministri del 22.2.2013 e s.m.i. (di seguito “DPCM”), utilizzando la tecnologia di CompEd Servizi Srl (di seguito, “CompEd”) quale soggetto che realizza soluzioni di FEA, ai sensi dell’art. 55, comma 2, lett. b) DPCM, con verifica via One Time Password (in seguito, “OTP”).

La tipologia dei documenti che possono prevedere la sottoscrizione mediante sistemi di FEA è, attualmente, limitata ai documenti di trasporto (in seguito, “DDT”) della merce uscente dal magazzino di Sama.

Sama provvederà a pubblicare il presente Manuale Operativo sul proprio sito web istituzionale (www.samafood.eu) e lo manterrà aggiornato, per recepire eventuali variazioni sui processi. Provvederà, inoltre, periodicamente alla verifica della conformità della propria soluzione di FEA e, ove si renderà necessario, aggiornerà questo documento, anche in considerazione dell’evoluzione della normativa e degli standard tecnologici.

  1. Definizione e valore della Firma Elettronica Avanzata

La firma o sottoscrizione elettronica di un documento informatico, assolve alla funzione di permettere l’individuazione certa della provenienza, ovvero della paternità, del documento, oltre a quella di garantire l’immodificabilità e l’integrità.

Nel caso della firma elettronica avanzata, comunemente indicata in forma abbreviata come “FEA”, la sottoscrizione avviene mediante una rigida procedura informatica atta a garantire al documento informatico a cui è associata il requisito della forma scritta e la piena efficacia prevista dall’art. 2702 del Codice Civile, ai sensi dell’art. 20 comma 1-bis del Decreto Legislativo 82/2005 e s.m.i. (c.d. Codice dell’Amministrazione Digitale, in seguito “CAD”).

Il documento sottoscritto con soluzioni di FEA ha la stessa efficacia probatoria delle scritture private riconosciute, ovvero fa piena prova fino a querela di falso della provenienza delle dichiarazioni dal firmatario, così come stabilito dall’art. 20, comma 1 bis CAD e dall’art. 2702 c.c

La soluzione FEA deve rispettare le disposizioni CAD, le regole tecniche in materia di FEA di cui al DPCM e le linee guida AgID in materia di formazione, gestione e conservazione dei documenti informatici.

  1. Caratteristiche del sistema realizzato e delle tecnologie utilizzate da Sama

La soluzione di FEA adottata da Sama e realizzata da CompEd, in ottemperanza all’art. 56 comma 1 del DPCM, garantisce:

  1. l’identificazione del firmatario del documento;
  2. la connessione univoca della firma al firmatario;
  3. il controllo esclusivo del firmatario del sistema di generazione della firma;
  4. la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma;
  5. la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto;
  6. l’individuazione del soggetto erogatore della soluzione di FEA;
  7. l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati;
  8. la connessione univoca della firma al documento sottoscritto.

L’art. 57, comma 1, lett. e), f), g), richiedono al proponente di rendere note agli Utenti Firmatari le caratteristiche della soluzione tecnologica e segnatamente le modalità in cui questa ottempera ai vincoli sopra elencate, nonché di pubblicare tali informazioni sul proprio sito Internet.

I soggetti coinvolti nel processo di sottoscrizione con FEA sono:

  • il soggetto erogatore che, ai sensi dell’art. 55, comma 2, lett. a), è rappresentato da Sama (in seguito, il “Soggetto Erogatore” o il “Proponente”);
  • l’utente firmatario del documento stesso (in seguito, l’“Utente” o il “Firmatario”) che, attualmente, è rappresentato dagli autisti degli automezzi incaricati dalle società di trasporto con la quale Sama ha sottoscritto un contratto di logistica e trasporto.

 

  • Descrizione della soluzione tecnologica

La soluzione tecnologica adottata per implementare il servizio di FEA è denominata DigitalSign Cloud.

Si tratta di un sistema di firma elettronica multipurpose, offerto in modalità SAAS (Software As A Service), che implementa anche una modalità di FEA conforme al DPCM.

DigitalSign Cloud è un’applicazione sviluppata da CompEd nell’ambito di un processo di sviluppo certificato ISO 27001 e ISO 9001.

La modalità di FEA in questione è realizzata apponendo una vera e propria firma digitale con un certificato di Sigillo Qualificato intestato al Proponente, ma indicando, nel contesto della firma stessa, le generalità del Firmatario, come identificato dal Proponente, in conformità con l’art. 57 comma 1 lett. a) DPCM.

Le successive sezioni dettagliano le modalità con cui DigitalSign Cloud rispetta i vincoli dettati dall’art. 56 comma1 DPCM.

  • Identificazione del sottoscrittore e connessione univoca firma – firmatario

Una volta determinate le generalità dell’Utente Firmatario mediante il processo di identificazione, queste devono essere esplicitate nel corpo di ciascuna firma.

L’univocità della connessione della firma al Firmatario, presupposto obbligatorio per la sottoscrizione del documento informatico, viene garantita dalla correlazione univoca via software del Firmatario al processo di sottoscrizione, nonché dall’utilizzo, da parte del Firmatario, di un codice OTP ricevuto dalla soluzione e imputato dal Firmatario proprio per creare un collegamento univoco e indissolubile tra la transazione di firma, il documento e il Firmatario.

DigitalSign Cloud riporta il nominativo sempre visibile nel campo firma, completato – opzionalmente – dal codice fiscale e dal recapito di consegna del codice OTP (il numero di cellulare).

Tali informazioni sono anche riportate nella struttura (PDF) del documento, ispezionabile con qualunque strumento abilitato (es. prodotti Adobe).

  • Controllo esclusivo del firmatario sugli strumenti di generazione della firma

Il Firmatario, dopo essere stato identificato e aver aderito alla soluzione FEA, può sottoscrivere documenti informatici mantenendo un controllo esclusivo sulla soluzione FEA da lui utilizzata, attraverso la seguente procedura:

  1. il sistema, prima di mostrare il documento da firmare, trasmette un codice di verifica random (OTP) via SMS al numero di telefono dell’Utente Firmatario, numero che è oggetto di verifica da parte del personale preposto Sama;
  2. l’Utente Firmatario digita il codice OTP (letto dal proprio telefono) quando richiesto: se il codice è corretto, si può assumere che l’Utente sia effettivamente il sottoscrittore, sbloccando la generazione della firma.
  • Protezione dell’integrità e connessione firma-documento

Questo risultato consegue direttamente dal fatto che, la firma apposta al documento, è una vera e propria Firma Digitale, associata ad un certificato di Sigillo Qualificato intestato al Proponente (o a un suo fornitore di servizi).

La firma digitale è la massima protezione disponibile per l’integrità di un contenuto firmato: la modifica, anche di un solo bit, invalida la firma.

La firma, per definizione, è una quantità calcolata cifrando – con una chiave privata – l’impronta (hash) del contenuto del documento: questo connette indissolubilmente la firma al contenuto del documento.

  • Possibilità per il firmatario di ottenere evidenza di quanto sottoscritto

DigitalSign Cloud opera, per le applicazioni FEA, con documenti di tipo PDF.

Durante il processo di FEA, l’Utente Firmatario ha la possibilità di avere evidenza del documento in corso di sottoscrizione, mediante la visualizzazione su pc, messo a disposizione dal personale Sama preposto.

L’Utente Firmatario può altresì esercitare il proprio diritto di ottenere evidenza di quanto sottoscritto formulando la richiesta verbalmente al personale preposto Sama oppure, in ogni momento successivo, mediante l’invio, via e-mail, a sama-fea@samafood.eu, del “Modulo per la richiesta di copia della dichiarazione di accettazione delle condizioni del servizio FEA e relativa documentazione”, rinvenibile sul sito web www.samafood.eu alla sezione “FEA”.

In ogni caso, la documentazione richiesta verrà recapitata via e-mail, all’indirizzo fornito dall’Utente Firmatario durante la prima identificazione.

Si precisa che tale diritto è applicabile sia ai documenti sottoscritti alla prima identificazione (Allegato 1 “Informativa per l’Utente Firmatario” e Allegato 2 “Modulo di accettazione delle condizioni di servizio FEA”, in ottemperanza a quanto previsto all’art. 57 comma 1 lett. c), sia ad ogni successivo documento firmato con FEA.

  • Individuazione del soggetto di cui all’art. 55, comma 2, lettera a) e b) DPCM

L’art. 55, comma 2, lettera a) DPCM prescrive l’’esatta identificazione del Soggetto Erogatore.

In generale, il certificato di Sigillo Qualificato materialmente usato per apporre la firma digitale sul documento è intestato proprio al proponente.

Tutti i documenti di cui si propone la sottoscrizione recano la chiara indicazione del Soggetto Erogatore, i cui dati sono di seguito riportati.

Ragione Sociale Sama S.p.a.
Indirizzo sede Via Vittorio, 88 Ponso (PD)
Partita IVA 03470550280
Codice Fiscale 11840620154
REA PD-312320
E-mail sama-fea@samafood.eu
Numero telefonico 0429/656170
Indirizzo web www.samafood.eu

 

 

 

 

 

 

 

 

Ed ancora, l’art. 55, comma 2, lett. b) DPCM richiede l’identificazione del soggetto che realizza la soluzione FEA.

A tal fine, si segnala che la soluzione di FEA utilizzata è stata realizzata da CompEd Servizi S.r.l.

 

  • Assenza di elementi atti a modificare atti, fatti o dati rappresentati nel documento

I documenti prodotti nell’ambito della soluzione FEA utilizzano esclusivamente formati atti a garantire l’assenza di qualunque elemento idoneo a modificare gli atti, i fatti e i dati in essi rappresentati.

In particolare, il formato PDF presentato all’Utente Firmatario per la sottoscrizione è privo di macro o di qualunque elemento in contrasto con questo requisito.

  1. Obblighi del Soggetto Erogatore

I soggetti che erogano soluzioni FEA hanno una serie di obblighi da rispettare, al fine di garantire il rispetto di tutti i requisiti richiesti dalla normativa in vigore.

In particolare, devono rispettare ciò che è definito all’art 57 del DPCM:

  1. identificare in modo certo il richiedente tramite un valido documento di riconoscimento;
  2. informare il richiedente in relazione agli esatti termini e condizioni d’uso del servizio, compresa ogni eventuale limitazione d’uso (Informativa per l’Utente Firmatario – 1);
  3. subordinare l’attivazione del servizio alla sottoscrizione di una dichiarazione di accettazione delle condizioni del servizio da parte del richiedente (Modulo di accettazione delle condizioni di servizio FEA – 2);
  4. conservare per almeno 20 anni copia del documento di riconoscimento, la dichiarazione del punto c. e le informazioni di cui al punto b., garantendone la disponibilità, integrità, leggibilità e autenticità;
  5. fornire liberamente e gratuitamente copia dei documenti di cui ai punti b. e c. al firmatario, su sua richiesta (Modulo per la richiesta di copia della dichiarazione di accettazione delle condizioni del servizio FEA e relativa documentazione – 3);
  6. rendere note le modalità con cui effettuare la richiesta di cui al punto e., pubblicandole anche sul proprio sito internet;
  7. rendere note le caratteristiche del sistema realizzato atte a garantire quanto prescritto dalle Regole Tecniche articolo 56, comma 1;
  8. specificare le caratteristiche delle tecnologie utilizzate e come queste consentono di ottemperare a quanto prescritto;
  9. prevedere la possibilità di revoca del servizio da parte del richiedente (Revoca FEA – 4), rendendo note le modalità con cui effettuare tale richiesta, pubblicandole anche sul proprio sito internet;
  10. dotarsi di copertura assicurativa per la responsabilità civile, rilasciata da una società di assicurazione abilitata ad esercitare nel campo dei rischi industriali.

Nei paragrafi successivi verranno analizzati i singoli obblighi.

  • Identificazione del firmatario

Il Firmatario, per utilizzare la soluzione FEA, deve obbligatoriamente essere identificato; deve, altresì, preventivamente prestare la propria adesione firmando l’apposito modulo di accettazione delle condizioni di servizio FEA del Soggetto Erogatore (v. Allegato 2), con il quale manifesta la volontà di aderire alla soluzione FEA e di accettare la modalità di trattamento dei dati personali.

L’adesione alla soluzione di FEA è facoltativa e può essere revocata in qualsiasi momento dal Firmatario. Laddove il Firmatario non accetti di aderire alla soluzione FEA o la revochi successivamente, il processo di sottoscrizione dei documenti viene comunque realizzato in modalità tradizionale cartacea o mediante altra modalità concordata.

Il Firmatario può effettuare, senza alcun vincolo, una revoca del servizio FEA, seguendo le istruzioni riportate al capitolo 4.7.

L’identificazione del Firmatario è di due tipi:

  1. la prima, che si effettua con la prima identificazione e prevede anche la raccolta di specifica documentazione;
  2. la seconda è un’identificazione successiva, quando il Firmatario, che ha già accettato il servizio FEA, si ripresenta per sottoscrivere ulteriori documenti.

La prima identificazione avviene mediante richiesta, da parte del personale Sama preposto, di un documento di riconoscimento, che deve essere in corso di validità. Sama considera validi i seguenti documenti di riconoscimento in corso di validità:

  • carta d’identità;

In questa fase, il personale preposto procede con la richiesta delle seguenti ulteriori informazioni:

  • numero di telefono mobile, che il Firmatario dichiara di essere nella sua esclusiva disponibilità;
  • indirizzo e-mail.

La copia del documento, in prima identificazione, viene conservata con la relativa informativa del servizio e il modulo di accettazione debitamente sottoscritto. Il tutto sarà conservato per 20 anni.

Poiché la soluzione scelta è di operare con modalità digitale, la copia del documento d’identità verrà acquisita mediante scansione, mentre il modulo di accettazione verrà sottoscritto mediante FEA.

Le identificazioni successive alla prima sono temporalmente posticipate rispetto all’accettazione del servizio FEA. In questo caso le modalità operative prevedono la sola esibizione del documento d’identità e la conferma del numero telefonico.

  • Informazione del richiedente firmatario

Identificato il Firmatario, il personale preposto da Sama informa lo stesso sulle condizioni di uso del servizio FEA, ivi comprese le limitazioni d’uso, presentandogli anche l’apposita Informativa (All.1), che verrà consegnata su richiesta dell’interessato e che, in ogni caso, è reperibile sul sito internet sito di Sama.

  • Dichiarazione di accettazione del servizio dal firmatario

Il personale Sama, dopo aver adeguatamente informato il Firmatario, invita quest’ultimo a sottoscrivere la dichiarazione di accettazione delle condizioni di erogazione del servizio (All. 2). Tale documento riporta tutti i dati informativi del Firmatario, la descrizione del servizio e richiede una firma mediante soluzione di FEA con effetto immediato.

  • Allegazione e conservazione della documentazione

In pieno rispetto di quanto previsto nell’articolo 56 comma 1 del DPCM, al fine di darne evidenza, tutta la documentazione raccolta per l’attivazione del servizio FEA viene conservata per un periodo minimo di 20 anni.

  • Caratteristiche del sistema di firma e tecnologia utilizzata

Al fine di ottemperare alla normativa di cui articolo 56 comma 1, nel capitolo 3, si descrivono le misure adottate e le caratteristiche hardware e software della soluzione adottata da Sama.

  • Aggiornamento del sito internet

Sama, in ottemperanza a quanto richiesto dalla normativa in essere, pubblica sul proprio sito internet istituzionale (www.samafood.eu) il presente documento.

Il documento descrive anche le caratteristiche del sistema di firma e le caratteristiche delle tecnologie utilizzate.

Il Manuale Operativo FEA include, in allegato, anche gli allegati:

  • Informativa per l’Utente Firmatario;
  • Modulo di accettazione delle condizioni di servizio FEA;
  • Modulo per la richiesta di copia della dichiarazione di accettazione delle condizioni del servizio FEA e relativa documentazione;
  • Modulo di revoca del servizio FEA.
  • Revoca del servizio

Il processo di FEA predisposto prevede che il consenso alla sottoscrizione in forma elettronica rilasciato dal Firmatario si estenda a tutte le operazioni che siano effettuate dal medesimo e comportino l’uso di un documento sottoscrivibile elettronicamente.

Pertanto, si prevede la possibilità di revoca di detto consenso attraverso la sottoscrizione di apposito modulo. L’aderente al servizio viene messo a conoscenza del suo diritto al momento della presa visione dell’Informativa.

Dal punto di vista operativo, il Firmatario può esercitare la revoca mediante la presentazione della stessa direttamente al personale Sama, con il seguente processo:

  • farsi identificare mediante esibizione di un documento di riconoscimento valido e tra quelli previsti nel paragrafo 4.1;
  • compilare il “Modulo di revoca del servizio FEA” (Allegato 4), pubblicato sul sito internet https://www.samafood.eu, nell’area FEA;
  • consegnare il modulo firmato.

In alternativa, l’Utente Firmatario potrà scaricare direttamente il “Modulo di revoca del servizio FEA”, pubblicato sul sito internet https://www.samafood.eu, nell’area FEA e inviarlo, insieme a copia di uno dei documenti d’identità previsti nel paragrafo 4.1, all’indirizzo sama-fea@samafood.eu.

  • Copertura assicurativa

Il Soggetto Erogatore, al fine di proteggere i Firmatari e i terzi, da eventuali danni cagionati da inadeguate soluzioni tecniche della soluzione FEA, deve dotarsi di una copertura assicurativa per la responsabilità civile, rilasciata da una società assicurativa abilitata ad esercitare nel campo dei rischi industriali, per un ammontare non inferiore ad euro cinquecentomila, in conformità a quanto previsto dall’art. 57 comma 2 del DPCM.

Al riguardo, Sama, in qualità di Soggetto Erogatore, dichiara di avere stipulato adeguata polizza con Sompo, in conformità a quanto previsto dalla predetta normativa.

  1. Adempimenti per il rispetto delle norme sulla Privacy

Sama, in qualità di Titolare del trattamento, deve informare il Firmatario, prima di attivare il servizio, circa:

  1. le finalità e le modalità del trattamento cui sono destinati i dati;
  2. la base giuridica del trattamento;
  3. se la base giuridica del trattamento è il consenso, l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
  4. se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali, nonché le possibili conseguenze della mancata comunicazione dei dati;
  5. il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  6. gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  7. l’esistenza dei diritti dell’interessato di chiedere al titolare l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al trattamento, oltre al diritto alla portabilità;
  8. il diritto di proporre reclamo ad un’autorità di controllo;
  9. gli estremi identificativi del titolare e, se designato, del rappresentante nel territorio dello Stato;
  10. i dati di contatto del Responsabile della protezione dei dati.

A tal fine, Sama ha redatto un’apposita Informativa che, unitamente alle condizioni generali del servizio FEA, rende edotto l’utente di tutto quanto richiesto dalla citata normativa.

L’Informativa:

  • è comunicata e resa disponibile dal personale Sama che sottopone il servizio FEA;
  • è disponibile sul sito internet Sito internet https://www.samafood.eu;

Inoltre, Sama, in qualità di Titolare del trattamento, garantisce agli interessati (gli Utenti Firmatari) i diritti previsti dagli artt. 15 ss Regolamento UE 2016/679, in quanto applicabili.

Si tratta in particolare dei diritti di:

  • accedere ai propri dati personali e conoscerne l’origine, le finalità e gli scopi del trattamento, il periodo di conservazione, i dati del titolare del trattamento, del responsabile del trattamento e i soggetti a cui potranno essere divulgati;
  • aggiornare, rettificare e integrare i propri dati, in modo che siano sempre accurati;
  • cancellare i propri dati personali, qualora non siano più necessari per il perseguimento delle finalità indicate nell’informativa;
  • limitare il trattamento dei propri dati personali in talune circostanze, ad esempio laddove sia stata contestata l’esattezza, per il periodo necessario al Titolare per verificarne l’accuratezza;
  • revocare il consenso in qualunque momento, con la consapevolezza che la revoca non pregiudica la liceità del trattamento basato sul consenso prima della revoca stessa.

A tal fine, Sama si è dotata di un’apposita procedura “diritti dell’interessato” che permette l’evasione della richiesta nei tempi stabiliti dalla normativa, ovvero 30 giorni dal ricevimento della richiesta. Per esercitare uno dei citati diritti, l’interessato deve presentare domanda all’indirizzo e-mail privacy@samafood.eu.